当像SolarWinds漏洞这样的事件发生时,许多大型企业组织也被发现存在严重的漏洞暴露,这反映出当前的网络安全解决方案不足以应对不断发展的高级攻击威胁.在此背景下,该行业需要移动目标防御(MTD)等创新技术来提高网络安全。研究公司Gartner认为,MTD已被证明可有效防止勒索软件和其他高级零日攻击,并将成为提高内存、网络、应用程序和操作系统安全性的关键技术,使主动安全保护的概念成为现实。安全防护技术的变化网络攻击包括已知和未知两种形式。必须阻止已知的攻击,因此基于签名的技术等防御措施仍然是任何组织安全策略的组成部分。然而,随着当前的攻击变得更加灵活和新颖,这些工具已不再足够。企业安全建设的最终目标应该从MTD开始,实现零信任(ZTA)战略架构的建设和升级。在美国国家标准技术研究院(NIST)发布的零信任架构框架(800-207)中,明确建议企业组织对端点安全采取零信任的方式,以确保更可靠的网络安全防护态势。在ZTA框架内,一切都必须不断验证和授权。MTD技术可以帮助企业安全团队更轻松地向ZTA架构演进。由于时间和资源的限制,大多数企业的安全团队很难在短时间内实现一个完整的ZTA框架。他们通常优先考虑网络外围的静态防御,这不再有效。为什么?攻击者很容易发现、到达和利用熟悉的、固化的攻击面,从而造成重大的经济损失。如果感觉网络安全总是在追赶,那么网络空间攻防两端的平衡永远无法建立。但如果公司能够创造一个灵活的攻击面,比如能够高速飞行的战斗机,那么结果将会大大改善。这就是移动目标防御背后的想法。这也是ZTACyber??security的目标之一,它正在成为数字防御的主导范例。什么是MTD?Gartner对MTD进行了正式定义:MTD通过使用系统多态性以不可预测的方式隐藏应用程序、操作系统和其他关键资产目标来防止未知和零日攻击,从而显着减少攻击面并降低安全运营成本。减少。从定义中可以看出,MTD是一种以预防为导向的网络攻击方法。它的工作原理是移动目标比静止目标更难命中,因此可以通过动态或静态排列、变形、转换或混淆来访问。入口,达到转移网络攻击的目的。此外,MTD还可以设置陷阱捕捉威胁行为者的行为,进一步防范未来的攻击。通过引入MTD技术,企业可以在不影响当前保护产品如NGAV、EPP或EDR功能的情况下隐藏漏洞和弱点。它允许检测勒索软件和其他高级攻击,并在它们造成损害之前迅速将其阻止。MTD可以应用于网络、主机和应用程序级别。这三种类型都有价值,但应用层是最重要的。这是因为应用程序、操作系统和端点资源是最流行的攻击入口点。在应用层停止攻击意味着即使他们在之前的层级成功了,最终还是会失败。这是攻击成为事件之前的最后一道防线。而且,MTD不需要过多的设备计算资源,也不需要安全分析师的频繁干预,甚至不需要占用过多的网络连接带宽。MTD的概念虽然听起来简单,但其影响却是深远的:让网络安全防护真正动起来。当防御保持机动时,他们就比攻击者领先一步。网络安全的本质是攻防对抗。MTD的应用将改变传统的攻防态势。攻击者将处于劣势,而不是防御者。以Morphisec的MTD解决方案为例,其安全防护主要包括三个步骤:(1)转换和隐藏当应用程序加载到内存空间时,Morphisec会安全地改变进程结构。这使得攻击者始终无法预测内存。(2)保护和欺骗合法的应用程序代码内存被动态更新为使用变形资源,应用程序照常加载和运行。原来的内存空间留作陷阱。(3)防止和暴露攻击如果针对原始内存结构发起攻击,他们将无法找到他们期望和需要的资源。攻击会立即被阻止、捕获并记录完整的取证细节。TheNextEraofCyber??Security下一个网络安全时代已经到来。安全团队应该关注对安全威胁的响应速度,而不是安全能力的叠加。传统的网络安全围绕着允许任何授权人员进入的防御边界。在ZTA框架中,没有任何东西具有可信状态,包括笔记本电脑和移动设备等端点。种种迹象表明,ZTA更有可能成为未来网络安全建设的新标准。在过去的一年里,攻击者在逃避检测和预防方面做得越来越好。攻击可以通过多种方式隐藏恶意意图并掩饰其真实性。使用的一些关键技术包括:多态性——更改恶意软件签名变形——在执行时更改恶意软件代码混淆——混淆恶意活动自加密——使用加密来隐藏恶意代码和数据反虚拟机/沙箱——改变行为以逃避取证分析反调试–切换取证环境策略以中断调试密码漏洞–更改参数和签名以逃避调查行为改变–在执行前等待使用活动这些技术已被证明在逃避检测方面非常有效,并且攻击者的优势随着时间的推移而增加。任何将攻击与敏感资产隔离开来的尝试都不可避免地会失败。因此,安全必须围绕资产本身。安全团队应该提前为MTD技术的应用做准备。可以帮助企业更好地保护资产本身而不是攻击入口,将防御重点放在应用运行时分配的内存资源上,实现对未知威胁的主动防御。
